# データソースへのアクセスの管理
<a name="CloudWatch_MultiDataSources_Permissions"></a>

 CloudWatch は、CloudFormation を使用して、アカウントで必要になるリソースを作成します。IAM ユーザーに `CreateStack` アクセス許可を付与する場合は、`cloudformation:TemplateUrl` 条件を使用して CloudFormation テンプレートへのアクセスを制御することをお勧めします。

**警告**  
データソース呼び出しアクセス許可をユーザーに付与した場合、そのユーザーはデータソースに対して直接 IAM アクセス許可を持っていなくても、そのデータソースのメトリクスをクエリできます。例えば、Amazon Managed Service for Prometheus データソース Lambda 関数に対する `lambda:InvokeFunction` アクセス許可をユーザーに付与した場合、そのユーザーは対応する Amazon Managed Service for Prometheus ワークスペースに対して直接 IAM アクセスを持っていなくても、そのワークスペースからメトリクスをクエリできます。

データソースのテンプレート URL は、CloudWatch Settings Console の **[スタックを作成]** ページにあります。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowCloudFormationCreateStack",
            "Effect": "Allow",
            "Action": [
                "cloudformation:CreateStack"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "cloudformation:TemplateUrl": [
                        "https://s3.us-east-1.amazonaws.com/amzn-s3-demo-bucket/template.json"
                    ]
                }
            }
        }
    ]
}
```

------

CloudFormation アクセスを制御する方法の詳細については、「[AWS Identity and Access Management によるアクセスの制御](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-iam-template.html)」を参照してください。